常见的攻击模式枚举和分类

CAPEC用户会议记录——“社区讨论:未来愿景CAPEC计划”

亚历克·j·萨默斯(lawrence Summers)CAPEC / CWE计划

会话6 -社区讨论:未来愿景CAPEC程序|查看所有会议记录

(0:00)议长:富广场(峰会东道主)

好的,这是我们的最后一次会议,这是一个基本社区讨论我们的广告。我们想要意见CAPEC项目的未来版本。我们讨论了很多不同的东西在过去5 CAPEC会话的。我们想改进?我们希望扩大,亚历克是要讲的,希望我们能有一个好的讨论之后,他提出了他的幻灯片。亚历克,把它搬开。

(今日)议长:亚历克·j·萨默斯(会议主持人)

当我们开始的时候,我想说,这是一个漫长的一天的美好事物,我们听说过到目前为止,我希望我们可以得到更多的反馈我们经历这些事情的原因在一天结束的时候,这是一个结束。这是我的意图,说一下这个项目在哪里,我们的一些意图在我们现在正在做的,也许反思我们听到的一些事情。

我们收工了,只是为了捕捉你的最终想法和反馈如果你没能分享我鼓励每个人都伸出。我们有很多人在线,还没有说如果你能把东西在聊天或者只是提高你的手,否则,我期待它。真的很偶然鲍勃铅变成我的会话,因为我想开始谈论CAPEC实际上是非常相似的起源CWE时间表。CVE项目的分支,比他们两人的一定数量的年,但在回顾其目的和有趣的,我应该说我有一个小纸条在我的日历,我们出现在15周年CAPEC月…我认为接下来一周左右…-但它背后的想法,正如CVE CWE,形式化攻击模式的概念,提供了一种共同的语言来为启用网络功能的开发和维护。CWE,如果我们有一个共同的理解我们如何定义的缺点或错误,当时至少由软件开发人员或架构师——现在,我们列举的弱点,在硬件设计阶段。同样,我们可以有一个建立共同语言的攻击模式,可以帮助该行业作为一个整体。我们都努力确保我们都说同一种语言,我们试着解决我们所面临的挑战性问题

如果你回顾历史的程序还在网站上关于它开始的地方,我把这里直接来自列表,讨论用例。正如我之前提到的或有一些聊天的用户体验工作小组,我们真的看不同的用例CAPEC被社区的地方。我们已经听到很多在工作小组一致的这些事情,我们在这个项目的起源。只是看着,从培训和定义需求和设计和威胁建模验证,等真的是我们开始的地方。

我认为我们可以去下一张幻灯片2。

(3)议长:亚历克·j·萨默斯

从那里,我们看到的是自2007年以来,我们从CAPEC版本即将到来的3.7版本,这也直接导致了大量的变化不仅增长相关信息语料库的各种攻击,但是扩张模式,所以我们有了新的一些元素——史蒂夫Christey Coley今天早些时候给不同的元素和值在CAPEC条目,我们谈论这些是多么重要的优先级不同的用户角色和他们的用户场景。

此外,我们还扩展到新域名的攻击模式。手机的崛起后很快推出CAPEC这是我们覆盖之类的物理安全、供应链和社会工程,是新话题CAPEC我们开始列举常用的语言攻击模式。

从那时起,我们还看到了扩大支持在其他信息主体之一。CWE映射方面我们已经取得了伟大的进步以及其他信息你可能熟悉像ATT&CK语料库,我们继续更新他们相当频繁。有新的信息和团队工作,为各种用户提供价值,这样他们可以连接到可操作的方式所需的其他信息。

下一张。

(31)议长:亚历克·j·萨默斯

今天我们听到了大量的故事和用例也极大的受益于听到一些伟大的思想领袖在域的数量。领域的教育,我认为这是有趣的听到从我们尊敬的同事在学术界讨论如何使用CAPEC教关于安全的软件开发中,我们听说在渗透测试社区的挑战,如何利用信息在CAPEC跟踪,不仅对不同的方法进行渗透测试,而且捕捉数据并执行这些流程形式化的方式取决于你看的上下文。我们也听到一些思想领袖在硬件安全和CAPEC如何提供价值和如何有更多的然后,最近,我们听到从鲍勃供应链。

在这个演讲我结束我们的反映是,尽管已经有了巨大的增长随着时间的回顾,我们开始的一些事情已经发生在过去的几年里,今天我们所听到的现在,有这么多要做的保证我们所做的一个项目是一个值到社区。我们听到许多谈话关于某些事情是有价值的这些不同的领域。

具体地说,以他们现在的状态,我们也听到了我们如何更好的软件和固件和硬件之间描绘之类的这些能力,不仅要改变的内容我们有或添加某种价值如何提出了但我们也听到了一些不同领域的评论,观察值在轮询,我们说…这一领域对我们是非常重要的。

帮助我们思考如何想确保我们集中我们的一些团队的努力和专注我们的社区活动。我一直试图回答多达我可以在聊天,但是也有很多邮件已经进来一天中我们一直在寻找更多的声音来自社区的参与和帮助我们现代化的这些项目,这样他们可以给社会带来价值。我鼓励你们所有人在这叫如果你还没有机会和您有兴趣请联系。我想重述。

我们可以去下一张幻灯片。

(8)议长:亚历克·j·萨默斯

我们反映,我想打开这如果有一点精力。我知道这是一个漫长的一天,但我们有很多人打电话。我们聊天,如果你不愿或不能说话,提供一些意见。

我有一系列的问题在这里,我真的只是想姿势和开放对话。我意识到这是一个漫长的一天,但我们期待和我们反思我们听说过的项目是什么,我们听到了很多关于人们现在所做的各领域。在你看来,可能有很多意见,但是我只会说这个问题很开放:CAPEC项目应该优先考虑,因为它旨在现代化吗?

程序对其社区的用户基础。这是我认为这里没有错误的答案,因为每个人都有一个兴趣,在游戏中有使用CAPEC提供价值,因为社区成员是那些我们服务,所以在这方面我将开放到社区。我知道有聊天,所以希望有人在我的团队能跳,指出事情对我来说,我有很多屏幕打开。我们应当从乔开始。

(09:55)议长:乔·哲伯克- Synopsys对此(客人)

我只是说今天是一个伟大的会话,我们注意到一些重点讨论气候变化,你也谈到了CAPEC和CWE之间的映射。当然CWE代表攻击向量。这就是恐怖袭击发生的第一件事我们谈到减轻攻击。这就像攻击表面硬化怎么样?的重点应该是“当我们讨论缓解措施CWE的修复。“减轻它。应的一部分在回答每一个CAPEC移植。把这一点铭记在心。

(11:07)议长:丰富的广场

有一个评论在聊天Murthi提供更多的培训材料,特别是桥接在硬件、固件和软件,与安全作为一个关注的话题。

(11)议长:亚历克·j·萨默斯

太棒了,是的,谢谢你的评论。我的意思是,这是我认为我们已经听过了。和这是一个很好的点来反映我们期待。

我们已经做了一些指导材料和看——如果我相关类似的指导和培训和教育方面,我认为我们有很多的用户,特别是今天…苏珊娜和Akond,那些能够加入我们…我真的认为有一个机会为我们的社区来帮助我们做的更好。我们已经做了一点。只是一个故事,我们已经做了一些培训材料或指导材料在过去的一年。我们发布了回来,我认为,去年2月,指导材料在映射漏洞cf cw和如何帮助人们识别问题的根源弱点与CVE更直接相关。工作我认为很有价值,我们已经看到,真正有价值的证据,和伟大的一件事就是与许多组织合作完成的整个行业…所以我认为这是一个机会让我们也做。它开始让我连接东西在我脑海中关于的一些对话。我们现有的组我提到…你也许听说过一整天,硬件CWE特殊利益群体尤其感兴趣的是某种方式表示之间的弱点在CWE CAPEC对固件硬件、软件,以及我们如何描述他们…当然,用户体验工作小组的关注。所以我爱评论。我认为我们当然可以带我们从今天开始,当然接触你。谁提交它,还在叫别人帮助我们,尤其是我可能指向我们在学术领域的专家,或许有提供,也谢谢你。 Rich, anything else?

(22节)议长:丰富的广场

是的,亚历克我要提到的一件事,我们一直在调查这是学术界的上下文是试图发展我们可以给大学培训和使用CAPEC和CWE等。

这是,我们想如果人,几个人谁出席了峰会与大学相关联,我们想和你联系你并讨论。把东西放在一起,一种共同的东西可以用在许多大学。

(14:10)议长:亚历克·j·萨默斯

是的,绝对肯定我认为有一个机会。

的一件事,我们也正在考虑,我们会疏忽更不用说,请求反馈在此会话的用户体验。正如我提到的,我们有一个用户体验工作小组,定期开会我们想任何人加入。很开放论坛和一个机会来谈论各种与这些项目相关的事情,但就在今天,你认为的一些最重要的事情来改善或改变或者增加CAPEC用户体验?…这是为了是非常开放的结束所以没有错误的答案就像我说的这些问题。我很好奇,不过,每个人都在打电话,可能他们使用……CAPEC或者一直在探索这一天中,听到不同的东西。有哪些可能性就我们这些项目现代化,真正专注于改善或改变或添加的用户体验?有什么想法吗?

(16:05)议长:丰富的广场

好的,的一件事是在聊天也许是讨论数据的“易用性”CWE, CAPEC,在所有这些我们正在做的事情,如果你想讨论。

(十六21)议长:亚历克·j·萨默斯

是的,绝对是的,所以格式。我记得它可能是你丰富我回答这个问题关于的后端结构或内部的事情,一件事CWE / CAPEC委员会就其职责之一是裁决和选举的各种工作小组对项目领域…的一件事,我们一直听到来自社区的潜在价值,可以如果我们开发一个REST API。

和如何更容易与这些信息在某些方面,特别是对某些用户。这是现在正在讨论积极的建立一个小组,与我们合作。所以我鼓励任何你可能有兴趣参与至少在这种类型的项目涉及CAPEC用户体验和REST API如何对你特别感兴趣的。你当然可以联系我们。但我可以说,是的,在这个时候我们的计划在不久的将来,和希望工作将在不久的将来开始。

(记上17:52)议长:丰富的广场

是的,吉姆有一个评论的聊天,我认为你想要扩展,显示的工具和接口映射到用户和使用网络安全工作劳动力框架角色如何使用CAPEC CWE ATT&CK和我读的方式,你想要一种关节界面同时处理所有这些事情,这是我们已经讨论过。

(18:29)议长:亚历克·j·萨默斯

啊,什么一个语料库信息规则,这个想法吗?是的,当然。我认为一件事情我们肯定听过这一问题,不同的项目以及它们与——低挂水果,尽管它花费大量的资源。这是一个映射努力在这些不同的东西。这是第一种情况的可用性价值。添加到那些也许真的熟悉说CWE但不一定相关CAPEC攻击模式,反之亦然,或CAPEC ATT&CK以及它们与不适用于早期的程序。我认为人们喜欢乔和鲍勃会记住这个网站,而且我认为仍然存在,将所有这些信息主体之一到所谓的“安全”可衡量的和拥有一个网站,你可以去这些事情联系在一起。

我想期待的机会也许更好地调整这些视觉和交互。也许信息可以从网站本身的某些类型的当前格式更流畅,引人入胜的方式,也许这是一种方法,至少如果我记得有人问什么问题,吉姆的年代点关于网络员工以及如何使用这些不同的东西——培训,指导如何使用这些他们最好的努力是我们可以与社区工作。从今天我们听到的东西,就在这些领域和相应CAPEC已经被使用。总是有更多的在这里,我希望我回答这个问题。

(20:17)议长:史蒂夫Christey Coley - CAPEC / CWE程序

我可以加上吗?我认为,因为对于那些没有意识到网络安全工作的框架,它出来的NIST,尝试做一些不同的事情。但是它的一部分是它试图识别和标准化的各种角色和工作,人们会在网络安全行业,比如法医分析师某些类型的技能,比如逆向工程等等。

如此的一个方法,我解释的问题是,我认为这是一个有趣的问题,这是一个有趣的提议。有特定的角色和特定任务的框架内的人正在看这些特定角色或需要建立这些技能。他们应该了解CAPEC和其他这样的努力。如果不是,但也可能真的使用它们作为自己的教育的一部分。这样做的一件事是,这个关系很严重,美国政府是如何试图雇用或试图思考什么样的角色和什么样的工作他们需要建立新的网络安全的人。万博manbetx.app安卓所以我是听起来像一个有趣的想法能够领带在提高对这些努力的认识更紧密,但也帮助这些人试图去他们的网络安全事业和与美国政府组织的需求是什么。万博manbetx.app安卓

(22:07)议长:亚历克·j·萨默斯

你到点子上。

谢谢史蒂夫我欣赏,一个伟大的答案。

(22:09)议长:丰富的广场

是的,我们得到了很多的评论和大拇指API和像你说的,一个工作小组是我们希望尽快建立,我们将发送信息,所以你可以加入你的意见与人共享,并尝试你的想法是解决方案的一部分。

(22:37)议长:亚历克·j·萨默斯

是的,我想叫一个评论。…这是一个有趣的话题,因为我知道在CAPEC团队和我很好奇也许其他人所说的会认为是一个机会。当我们提到我们有供应链范围内CAPEC是回去很长时间开始现代化是我们前进,当然更多。

正如鲍勃雄辩地放在最后会话可能会很有趣的一件事是看哪里CAPEC可以定义在这个供应链生命周期不同阶段。

这是相似的,但不同的产品开发生命周期,软件开发生命周期。供应链中某些元素的独特和观察也许CAPECs存在,那些被写的计划,那些我们会得到他们所有的土地。也许以这样一种方式将是有价值的。我很好奇什么有些人可能会想到这一点。

(23:50)议长:罗伯特·马丁-斜方(客人)

嗯,我认为当你说这些话是什么攻击面分析?供应链是什么?流身体和暂时都是什么然后表达可能会有弱点,可以攻击。

这就是你集中攻击模式。

(24:17)议长:丰富的广场

我认为鲍勃期间你做了你的一些幻灯片你指出的一些工作…

(24:22)议长:罗伯特·马丁

是的,现在是我的提示。

(24:27)议长:亚历克·j·萨默斯

是的,我们可以去下一张幻灯片。

我们这里有另一个话题也许看起来以外的可用性和用户界面。我们问什么其他内容领域最重要的和你有点相似,我可能会问或框架不同。最重要的提高或扩大或增加?有差距在整个领域,我们认为我们不盖,我们不应该呢?我们谈论一些我们可能有机会成长和扩张——当然供应链是——而且那些也许或者我们不应该一定关注。我回忆我看着的数据也许几个小时前,关于什么是重要的。我的确注意到了社会工程非常低。这是一个有趣的话题本身。

即,因为在过去,我们已经讨论过CAPEC之间的关系是这样CAPEC是利用现有的弱点然后在CWE我们不列举,我们没有任何计划列举与社会工程相关的弱点,他们开始进入神经科学,也许,和心理学。CWE的范围之外的,是一种可以想象。我听到这里特别开放,看着周围的领域做封面和那些对你来说很重要。他们怎么能提高他们怎么能被扩展或补充道。

这是这个问题。有什么想法吗?

(26:05)议长:乔·哲伯克- Synopsys对此(客人)

我们已经谈到了网络物理系统。

和链接攻击的概念,你有两个相关的硬件和软件。

,你甚至可以考虑社会工程的一部分。

但这是没有一个域(解决)。所以你必须把它一起在网络物理系统安全因为我们谈论一个网络攻击可以有物理的后果。已经在新闻中。万博下载包这将是在新闻更多,这可能成为解决方案的一部分空间万博下载包。

(26:42)议长:亚历克·j·萨默斯

是的,谢谢你,它也提醒了我,我之前提到过——不久前对这些不同的团体,站了起来。,已经批准了,很快就会站在你们的电话可能感兴趣的是,我们要有一个正在进行的新的特殊利益集团专注于ICS和不系统。所以要寻找一个邀请,…我相信称之为叫做与众不同的ICS -这是一个缩写标题长度- ICS OT CWE的团体:工业控制系统操作技术共同弱点枚举特殊利益集团,但是当然,CAPEC是同样相关,所以在标题中,我们想,也许几个缩写太多。但是是的,大点,我只是想塞,因为这是为那些感兴趣的空间。

如何下一张幻灯片。

我想这是一种类似于但也许不同的思考方式CAPEC网站的可用性。任何功能,也许,除了我们谈到关于域名和内容和经验在某些用例,但是实际的可用性的任何反馈将是最受欢迎的。

没有错误的答案。我知道API是一个我们已经得到了很多积极的反馈,但其他东西。